На Tue, 29 Jul 2008 11:48:07 +0400 Artem Chuprina <[EMAIL PROTECTED]> записано:
> Alexander Tyurin -> debian-russian @ Tue, 29 Jul 2008 01:13:13 +0400: > > AT> Приветствую! > AT> Есть хост 192,168,1,20. Все последующие правила прописаны именно > AT> на этом хосте. > > AT> При правиле > AT> iptables -A INPUT -p tcp -d 192.168.1.20 -j DROP > AT> доступа к сетевым ресурсам нет. Логично. > > AT> При > AT> iptables -A OUTPUT -p tcp -s 192.168.1.20 -j DROP > AT> нет доступа к ресурсм сети. Логично. > > AT> При > AT> iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.20 -j DROP > AT> доступа нет. Вот тут уже интересно т.к. не понятно почему. > > AT> При iptables -t nat -A PREROUTING -p tcp -d 192.168.1.20 -j > AT> DROP а вот это правило не понятно почему не действует. Никаких > AT> проблем с коннектом у хоста не возникает. Кто-нить может > AT> объяснить такую разницу в поведении 2х последних правил? > > Правило в цепочке nat срабатывает только на первый пакет > "соединения" (в кавычках, потому что имеется в виду соединение в > понимании conntrack, а не в строгом; т.е. ответ на DNS-запрос будет > считаться вторым пакетом соединения). Просторечное "доступ к сетевым > ресурсам" переводится как "первый пакет - исходящий". Через цепочку > POSTROUTING он в силу этого пройдет, а через цепочку PREROUTING - нет. > > Интересно, почему до меня этого никто не сказал?.. Впрочем, я и сам > как-то не прямо сразу сообразил. > > Вообще же дропать пакеты в цепочках nat и mangle без крайней > необходимости не рекомендуется. Но для экспериментов и осознания > принципов работы, конечно, можно и полезно. > > А самое лучшее изложение, которое я видел - > > http://iptables-tutorial.frozentux.net/ > > Заняться, что ли, переводом?.. Да есть оно на русском. На опеннете лежит, называется "Руководство по iptables" -- Best regards, Alexander GQ Gerasiov Contacts: e-mail: [EMAIL PROTECTED] Jabber: [EMAIL PROTECTED] Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D
signature.asc
Description: PGP signature